怀疑中了木马，请高手来看，高分相送~~~

xp系统，局域网接internet.最近附近几台机器都有下列症状：

开机时自动和203.80连接（这是我们局域网内部分配的IP），并交换数据，大概在几k左右，每次都一样。
C:\Documents and Settings\zyx>netstat

Active Connections

Proto Local Address Foreign Address State
TCP zyx:1031 10.1.203.80:2869 ESTABLISHED
TCP zyx:1037 207.188.24.143:http SYN_SENT

这是防火墙日至：
[13:50:29] 10.1.203.80试图连接本机的Blazer 5[5000]端口，
TCP标志：S，
该操作被拒绝。

[13:50:30] 10.1.203.80试图连接本机的Blazer 5[5000]端口，
TCP标志：S，
该操作被拒绝。

[13:50:37] 10.1.203.80试图连接本机的Blazer 5[5000]端口，
TCP标志：S，
该操作被拒绝。

[13:50:38] 10.1.203.80试图连接本机的Blazer 5[5000]端口，
TCP标志：S，
该操作被拒绝。

在进程中多了一个SVCHOST.exe,我原来是4个，现在是5个，多的那个的用户是system.
在注册标的启动项里没有任何可怀疑的东西，我都删掉了，现在只有金山病毒防火墙和天网防火墙。
已有的反木马和最新版的病毒库的金山不能发现问题。

哪位高手知道这是怎么回事~~~~~~很郁闷！~~
---------------------------------------------------------------

SVCHOST进程是系统进程
如果NORTON和木马克星都检查没有病毒
估计是下述的程序使用
TCP 5000 = WindowsXP服务器,Blazer 5,Bubbel,Back Door Setup,Sockets de...

---------------------------------------------------------------

那就有些怪了
你先用ActivePorts看看是哪个程序
然后用PrcView看看这个程序的相关进程，在什么路径下。如果可疑就干掉。
假设你中了木马，我猜测很可能你中的木马是被人修改过的。
本人自己不会写木马，但是曾经拿了几个流行木马将端口、识别信息等稍作改造，杀毒软件就都查不出来了。
---------------------------------------------------------------

NORTON我个人认为是比效好的杀毒软件，对黑客工具也比效管用。但对木马加个壳就会查不出来，本人做过实验。但发现一个奇怪的问题，一个木马，加壳前NORTON能查杀，金山不行，加壳后却反过来，百思不得其解。
---------------------------------------------------------------

看看SVCHOST.exe是否占用过多的系统资源
去掉木马启动的途径，当然比较困难
有ghost最好
---------------------------------------------------------------

port 5000 - Sockets de Troie
---------------------------------------------------------------

听说Trojan.Huigezi.e的灰格子变种病毒，感染电脑后会将自己拷贝到系统目录中，命名为svchost.exe，但svchost.exe又是系统进程，一般养个4，5个也不会出现什么问题！
但根据你的端口来看又不像是中了木马！
查了一下端口列表，5000对应的服务是：5000=WindowsXP服务器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie

blazer 5 bubbel好像是木马的名称，back door那些只是优化大师的说明，并不确定。
你到“服务”里查看一下，看能不能试着将相关服务关掉或改成手动试试！

---------------------------------------------------------------

先看一下203.80有没有安全漏洞，如果203。8有问题，那被人种木马的可能性就很大，
其次查看注册表中启动项，不关run项，自启动服务中也可能有程序把木马插入系统进程如svchost，
要想分析清楚，建议用sniffer抓包下来分析，主要是和203。80间的通信